PROYECTO DE LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Transcripción

1 PROYECTO DE LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

2 Preámbulo Este Proyecto de Ley tiene como uno de sus ejes prioritarios asegurar el respeto y la protección de los derechos fundamentales, de las libertades públicas del ser humano y de otros bienes jurídicos relacionados con ellos, a los que ha dado cabida nuestro ordenamiento jurídico, en especial la Constitución Política Nacional, en cuanto a la protección de los derechos humanos y la dignidad del ser humano, sin dejar de lado las Convenciones Internacionales ratificadas por la República de Panamá, entre ellas, la Convención Americana de los Derechos Humanos, la cual en su artículo 11, establece que nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. Por ende corresponde al Estado respetar la privacidad de los individuos y velar porque terceras personas no incurran en conductas que puedan afectarlos arbitrariamente, por lo tanto se ha reconocido por la Organización de Estados Americanos (OEA), la creciente importancia de la privacidad y la protección de datos personales (Consejo Permanente. Comparative Study: Data Protection in the Americas. CP/CAJP-3063/12. 3 de Abril de 2012). En este sentido, la Asamblea General de las Naciones Unidas se ha pronunciado respecto de la obligatoriedad de los Estados en la tutela de estos derechos, mediante entre otras Resolución No. 68/167 de 18 de diciembre de 2013, que exhorta a los Estados, a que: a) Respeten y protejan el derecho a la privacidad, incluso en el contexto de las comunicaciones digitales; b) Adopten medidas para poner fin a las violaciones de esos derechos y creen las condiciones necesarias para impedirlas, como cerciorarse de que la legislación nacional pertinente se ajuste a sus obligaciones en virtud del derecho internacional de los derechos humanos; c) Examinen sus procedimientos, prácticas y legislaciones relativas a la vigilancia y la interceptación de las comunicaciones y la recopilación de datos personales, incluidas la vigilancia, interceptación y recopilación a gran escala, con miras a afianzar el derecho a la privacidad, velando por que se dé cumplimiento pleno y efectivo de todas sus obligaciones en virtud del derecho internacional de los derechos humanos; d) Establezcan o mantengan mecanismos nacionales de supervisión independientes y efectivos capaces de asegurar la transparencia, cuando proceda, y la rendición de cuentas por las actividades de vigilancia de las comunicaciones, interceptación y recopilación de datos personales que realice el Estado. Este Proyecto de Ley busca salvaguardar y garantizar el derecho fundamental a la protección de los datos de carácter personal de los ciudadanos, estableciendo regulaciones al tratamiento, automatizado o no, de datos personales, el cual será de orden público y de observancia general en toda la República. Los sujetos regulados en el Proyecto de Ley, son las personas naturales y jurídicas de carácter público o privado, con o sin fines de lucro, que lleven a cabo el tratamiento y/o custodia de datos personales. La Ley contempla algunas excepciones relativas a entidades privadas como es el caso de las agencias de información de datos sobre historial de crédito, en cuanto a lo ordenado por su regulación especial vigente y la recolección y almacenamiento de datos personales, que son para uso exclusivamente personal, y sin fines de divulgación o utilización comercial; así como también es el caso de los servidores públicos en los casos donde la Ley establece información sobre la persona que debe ser de dominio público y bajo la tutela de la Autoridad Nacional para la Transparencia y Acceso a la Información (ANTAI). Se establece de igual forma, en este Proyecto de Ley, que las bases de datos que contengan datos personales y que reposen en custodia del Estado, deberán ser resguardadas de manera segura, ya sea que se encuentren ubicadas dentro o fuera del territorio nacional, como complemento a las legislaciones especiales que crean y reglamentan las bases de datos personales. En cuanto a los datos de importancia crítica estatal, se establece que los mismos deben hospedarse en servidores ubicados dentro del territorio nacional. El presente Proyecto de Ley aspira a dotar a los ciudadanos en general de un instrumento legal de protección y defensa. Es de carácter general, como norma supletoria para desarrollos normativos derivados de ámbitos de competencia cercanos o conexos, tales como la legislación mercantil, penal, procesal, familiar y las normas sobre transparencia, salud pública y cualquier otra que guarde relación con el tratamiento de datos personales. Los conceptos o el modelo planteado en el Proyecto de Ley responden a la evolución y desarrollo que en materia jurídica se ha producido; así como también a las nuevas necesidades que en materia de protección de datos han surgido en los últimos años a raíz de la evolución de materias relacionadas con el almacenamiento, interoperabilidad, aplicaciones de inteligencia o analítica, y tratamiento digital de la información y para los cuales no se había legislado. 2

3 Para la redacción de este Proyecto de Ley se ha tomado en cuenta el contexto socioeconómico y de desarrollo que a la fecha experimenta nuestra Nación, y en especial las oportunidades que surgen de la economía digital y la inversión en tecnologías de la información y comunicaciones. Esperamos que el proyecto presentado se acreciente con la aportación de cada uno de los actores de la sociedad panameña, no sólo durante su proceso de creación, sino también de implementación. 3

4 Título I Disposiciones Generales Artículo 1. La presente Ley tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando también su interrelación con la vida privada y demás derechos y libertades fundamentales de los ciudadanos, de parte de las personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales en los términos previstos en la Ley. Toda persona, natural o jurídica, de derecho público o privado, lucrativa o no, puede efectuar el tratamiento de datos personales, siempre que lo haga con arreglo a la Ley y para los fines permitidos en el ordenamiento jurídico. En todo caso deberá respetar el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las facultades que la Ley les reconoce. Sin perjuicio de lo anterior, quedan excluidos de la aplicación de la presente Ley los siguientes tratamientos: a) Por una persona natural para actividades exclusivamente personales o domésticas; b) Por autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales; c) Sistemas de tratamiento para el análisis de inteligencia financiera y relativos a la seguridad nacional de conformidad con las legislaciones, tratados o convenios internacionales que regulen estas materias ; d) La información que resulte de un procedimiento previo de disociación o anonimización de manera que el resultado no pueda asociarse al titular de los datos personales; e) Los que se efectúen con fundamento en leyes especiales. Artículo 2. Para los efectos de esta Ley se entenderá por: a) Almacenamiento de Datos: Conservación o custodia de datos en una Base de Datos, establecida en cualquier medio provisto por las tecnologías de la información y la comunicación (TIC). b) Bloqueo de Datos: Restricción temporal de cualquier Tratamiento de los datos almacenados. c) Base de Datos: Conjunto ordenado de datos de cualquier naturaleza, cualquiera que sea la forma o modalidad de su creación, organización o Almacenamiento, que permite relacionar los datos entre sí, así como realizar cualquier tipo de Tratamiento o Transmisión de los mismos por parte de su Custodio. d) Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el Tratamiento de los mismos. e) Custodio de la Base de Datos: Persona natural o jurídica, de derecho público o privado, lucrativa o no, a quien compete la custodia y conservación de la Base de Datos, por encargo del Responsable del Tratamiento. f) Datos de Acceso Restringido o Confidencial: Datos bajo responsabilidad del Custodio cuyo Tratamiento será permitido para fines de la administración pública o si se cuenta con el consentimiento expreso del titular, sin perjuicio de lo dispuesto por leyes especiales. g) Dato Anónimo: Aquel dato cuya identidad no puede ser establecida por medios razonables, o el nexo entre el mismo y la persona natural o jurídica al que se refiere. h) Dato Caduco: Aquel dato que ha perdido actualidad por disposición de la Ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma expresa, por el cambio de los hechos o circunstancias que consigna. i) Dato de Carácter Personal o Datos Personales: Es cualquier información concerniente a personas naturales, que las identifica o las hace identificables. j) Dato de Importancia Crítica Estatal: Iinformación asociada a datos personales, en poder de entidades del Estado, cuyo Tratamiento resulta fundamental para el funcionamiento del Estado en cualquiera de sus niveles de gobierno, los cuales serán definidos como tal por cada institución del Estado, de acuerdo a la Ley y según sus competencias. k) Dato Financiero o Bancario: Aquel dato relativo a personas naturales, que las identifica o las hace identificables, que sean recopilados, procesados o divulgados, por una entidad bancaria o financiera sujeta a supervisión o regulación, en cumplimiento de las normas que le son aplicables para el ejercicio de su correspondiente actividad. l) Dato Disociado: Aquel dato que no puede asociarse al Titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación de la persona, sea esta natural. m) Dato Sensible: Aquel dato que se refiere a características físicas o morales de las personas naturales o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual, tal cual lo establezcan las leyes especiales. n) Eliminación o Cancelación de Datos: Suprimir o borrar de forma permanente los datos almacenados en Bases de Datos, cualquiera fuere el procedimiento empleado para ello. 4

5 o) Ficha Técnica: Documento que contiene los registros, protocolos y reglas, relacionados al almacenamiento y tratamiento de los datos personales. p) Fuente Accesible: Bases de Datos que no sean de acceso restringido o contengan reserva alguna a consultas, o que puedan ser de dominio público, tales como las publicaciones Estatales de carácter oficial, los medios de comunicación, los directorios telefónicos y la lista de personas que pertenecen a un grupo de profesionales que contengan únicamente nombre, titulo o profesión, actividad, dirección laboral o comercial, al igual que información que indique su pertenencia a Organismos. q) Modificación de Datos: Todo cambio en el contenido de los datos almacenados en Bases de Datos. r) Organismos: Personas jurídicas o entidades de derecho público, descritas y reguladas por la Constitución Política de la República o las leyes orgánicas de las mismas, sean estas asociaciones, fundaciones, gremios, colegios profesionales, entre otros. s) Procedimiento de Disociación: Todo Tratamiento de datos que impide que la información disponible en la Base de Datos pueda Asociarse a persona natural o jurídica determinada o determinable. t) Registro de Datos: Campos de una base de datos que contienen los datos personales. u) Responsable del Tratamiento de los Datos: A quien compete las decisiones relacionadas con el Tratamiento y/o Transmisión de los datos. v) Titular de los Datos: Persona natural a la que se refieren los datos. w) Transferencia de Datos: Dar a conocer, divulgar, comunicar, intercambiar y/o transmitir, de cualquier forma y por cualquier medio, de un punto a otro, intra o extra fronterizo, los datos a personas naturales o jurídicas distintas del titular, sean determinadas o indeterminadas x) Tratamiento de Datos: Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir, transmitir o cancelar datos, o utilizarlos en cualquier otra forma. Artículo 3. Las bases de datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales, quedan sujetas a las normas establecidas en la presente Ley, y demás Leyes de la República de Panamá, al igual que toda reglamentación técnica que expida la autoridad competente. Aquellas bases de datos que contengan datos de importancia crítica estatal, deberán hospedarse o mantenerse dentro del territorio de la República de Panamá y estarán sujetos únicamente a la legislación panameña. Corresponderá proporcionar los niveles de protección y seguridad adecuada en el almacenamiento y/o transferencia de datos. El almacenamiento o transferencia de datos personales de naturaleza confidencial, sensibles, o restringidos, por parte de la empresa responsable de bases de datos, o custodio de los mismos, será permitido, siempre que la empresa y/o su país de residencia posea estándares de protección comparables a los de la presente Ley; o si la entidad que transfiere los datos se asegura de adoptar todos los pasos necesarios para asegurarse que los datos serán protegidos en forma consistente con esta ley a través de contratos, códigos de conducta o estándares internacionales aplicables. Se exceptúa para efectos del requerimiento que trata el párrafo anterior, los siguientes casos: a) Cuando el titular haya otorgado su consentimiento b) Cuando se trate de transferencias bancarias, dinerarias, bursátiles o del mercado de valores c) Cuando se trate de información cuya transmisión sea requerida por ley o en cumplimiento de tratados internacionales ratificados por la República de Panamá d) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar por el interesado o en interés de éste. Artículo 4. El titular tiene el derecho a que sus datos personales no sean utilizados de forma asociada para otros fines que no hayan sido expresamente informados, tales como publicidad, promociones, mercadeo, investigación, estudios, consultas o encuestas, y podrá oponerse al uso no expresamente informado o autorizado de sus datos personales, con las consecuentes responsabilidades civiles y penales. En toda recolección de datos personales realizada a través de encuestas, estudios de mercado o sondeos de opinión pública u otros instrumentos semejantes, sin perjuicio de los demás derechos y obligaciones que esta Ley regula, se deberá informar a las personas del carácter no obligatorio o facultativo de las respuestas y el propósito para el cual se está solicitando la información. La comunicación de sus resultados debe omitir las señas que puedan permitir la identificación de las personas consultadas. Artículo 5. El uso o tratamiento de los datos personales sólo puede efectuarse cuando esta Ley u otras disposiciones legales lo autoricen o el titular consienta de manera previa, irrefutable y expresa en 5

6 ello. La persona que consienta dicho uso o tratamiento de sus datos, debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible uso. El consentimiento podrá obtenerse en forma que permita su trazabilidad mediante documentación, sea esta electrónica o mediante cualquier otro mecanismo que resulte adecuado al medio de que se trate el caso; y el mismo puede ser revocado, aunque sin efecto retroactivo. El uso o tratamiento de los datos personales sólo puede efectuarse cuando esta Ley u otras disposiciones legales lo autoricen o el titular consienta de manera previa. La persona que consienta dicho uso o tratamiento de sus datos, debe ser debidamente informada respecto del propósito del almacenamiento y/o transmisión de sus datos personales y su posible uso. Cuando el consentimiento se refiera a datos personales sensibles de salud, el consentimiento, será previo, irrefutable y expreso. No requiere autorización el tratamiento de datos personales, en los siguientes casos: a) Los que provengan o que se recolecten de fuentes de dominio público o accesible en medios públicos. b) Los que se recolecten dentro del ejercicio de las funciones propias de la Administración Pública en el ámbito de sus competencias. c) Cuando sean de carácter económico, financiero, bancario o comercial, que cuenten con el consentimiento previo. d) Los que se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia de la persona natural a una organización, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento. e) Los que son necesarios dentro de una relación comercial establecida, ya sea para la atención directa, comercialización o venta de los bienes o servicios pactados. f) El tratamiento de datos personales que realicen organizaciones privadas, para el uso exclusivo de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos. g) Los casos de urgencia médica o sanitaria. h) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. Quien acceda a los datos personales sin que medie autorización previa, deberá cumplir con las disposiciones contenidas en la presente ley. En los supuestos contemplados en el presente artículo, el titular de los datos podrá ejercer el derecho de acceso a sus datos personales sin cargo alguno. El titular podrá en cualquier momento solicitar la modificación, eliminación o bloqueo de sus datos personales de las bases de datos a los que se refiere el presente artículo. Lo anterior, se entiende sin perjuicio de lo que dispongan las leyes especiales que regulen la materia. Los custodios contarán con un plazo de seis (6) meses, a partir de la promulgación de la presente Ley, para cumplir con lo dispuesto en este artículo. Artículo 6. El responsable de la base de datos personales establecerá los protocolos y procedimientos de gestión y transferencia segura, protegiendo los derechos de los titulares sobre sus datos bajo los preceptos de la Ley. El procedimiento de almacenamiento de información será fiscalizado y supervisado por la Autoridad de Transparencia y Acceso a la Información (ANTAI) en coordinación con las autoridades competentes, y con el apoyo de la Autoridad Nacional para la Innovación Gubernamental (AIG) cuando trate de aspectos relacionados a las tecnologías de la información y comunicaciones, con excepción de aquellos procedimientos de almacenamiento de información realizadas en el ejercicio o de actividades reguladas por leyes especiales. Frente a una acción de transferencia de datos personales mediante el uso de una red digital o de cualquier otro medio, deberá dejarse constancia de: a) La individualización del requirente. b) El motivo y el propósito del requerimiento. c) Los datos que se requiere que sean trasmitidos. d) La notificación a los titulares de los datos personales que integran el requerimiento, el motivo y el nuevo responsable de la información. e) El tiempo máximo que el requirente utilizará los datos y la forma como serán destruidos una vez terminado su uso. Quien haya requerido los datos personales, sólo puede utilizarlos para los fines que motivaron el almacenamiento y la transmisión. 6

7 No se aplicará lo dispuesto en este artículo, cuando se trate de datos personales que sean de dominio o acceso público en general. Esta disposición tampoco es aplicable a datos personales cuando trata de acciones relacionadas a organismos internacionales, en cumplimiento de lo dispuesto en los tratados y convenios vigentes ratificados por la República de Panamá. Artículo 7. Las personas que incidan en el tratamiento de datos personales, tanto en organismos públicos como privados, están obligadas a guardar confidencialidad sobre los mismos, cuando provengan o hayan sido recolectados de fuentes que no sean de dominio o acceso al público, así como sobre los demás datos y antecedentes relacionados con la base de datos, obligación que no cesa por haber terminado sus actividades en ese ámbito. Artículo 8. En caso de que el tratamiento de datos personales se efectúe por mandato, se aplicarán las reglas generales, en las cuales se dejará constancia, entre otros, que el mismo sea otorgado por escrito o de forma electrónica siempre que exista certeza de su otorgamiento, estableciendo las condiciones para el tratamiento o la utilización de los datos personales. El mandatario deberá respetar esas estipulaciones en el cumplimiento de su encargo. Artículo 9. Los datos personales deben utilizarse para los fines determinados, explícitos y lícitos para los cuales hubieren sido autorizados al momento de su recolección, sin perjuicio de que puedan ser utilizados también para otros fines siempre y cuando no sean incompatibles o contrarios a la ley, en cuyo caso será necesario que se obtenga el consentimiento del titular a tal fin, exista una Ley especial que permita dicho tratamiento o el mismo sea necesario para el cumplimiento de una obligación contractual, así como sea requerido por una entidad pública en el ejercicio de sus funciones legales o por orden judicial. En todo caso, la información debe ser exacta, actualizada y responderá con veracidad a la condición actual del titular de los datos personales. Artículo 10. Los datos sensibles no pueden ser objeto de transferencia, excepto en los siguientes casos: a) Cuando el titular haya dado su autorización explícita, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización. b) Cuando sea necesario para salvaguardar la vida del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los acudientes, curadores o quienes tengan la tutela hayan dado autorización. c) Cuando se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. d) Cuando tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a disociar la identidad de los titulares. Artículo 11. El responsable por la custodia o tratamiento de datos personales, por encargo o mandato, deberá cuidar de los mismos con diligencia en virtud del principio de responsabilidad, siendo este quien responda en primera instancia por los daños o perjuicios ocasionados que le sean exigibles. En el tratamiento o transferencia de datos personales que se realice a través del Internet o cualquier otro medio de comunicación electrónica o digital, el custodio de la base de datos o el responsable por el tratamiento, deberá cumplir con los estándares, protocolos, medidas técnicas y de gestión informática, adecuados para preservar la seguridad en sus sistemas, redes o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos personales tal cual lo contemple la ley en esta materia, así como las certificaciones, protocolos, estándares y otras medidas que se establezcan en la ley y la reglamentación por parte de las autoridades competentes. Título II De los Derechos de los Titulares de Datos Personales Artículo 12. Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO): Derechos que tienen los titulares de ejercer sobre los responsables de la base de datos personales, así: a. Derecho de Acceso: Permite al titular obtener los datos personales que se encuentren almacenados o sujetos a tratamiento en bancos de datos de instituciones públicas o privadas además de conocer el origen y la finalidad para los cuales han sido recabados. b. Derecho de Rectificación: permite a toda persona natural o jurídica solicitar la corrección de sus datos personales que sean incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes. c. Derecho de Cancelación: Permite al titular solicitar la eliminación de sus datos personales incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes. 7

8 d. Derecho de Oposición: Permite al titular, por motivos fundados y legítimos relacionados a una situación en particular, negarse a proporcionar sus datos personales o a que sean objeto de determinado tratamiento, así como a revocar su consentimiento. En todo momento el titular de los datos puede ejercer estos derechos los cuales son irrenunciables, salvo las excepciones contempladas en leyes especiales. Artículo 13. Todo titular o quien lo represente tiene derecho a exigir a quien sea responsable de la custodia y/o tratamiento de base de datos, a que se le suministre información sobre los datos personales, incluyendo procedencia y destinatarios, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos personales son o puedan ser sujeto de tratamiento o transferencia, sean ocasionalmente o con regularidad. La información solicitada deberá suministrarse en un plazo no mayor de diez (10) días hábiles. El titular también tendrá derecho a que se modifiquen, bloqueen, actualicen, corrijan o eliminen datos personales en caso de que se acredite que son erróneos, inexactos, equívocos o incompletos. El titular, aun cuando haya proporcionado voluntariamente sus datos personales tendrá derecho al bloqueo de datos personales, cuando estos se utilicen para propósitos comerciales y el titular no desee continuar figurando en la base de datos respectiva. Sin perjuicio de las excepciones legales, el titular tendrá además derecho a exigir que se eliminen sus datos personales, cuando su almacenamiento carezca de fundamento legal, cuando no hayan sido expresamente autorizados o cuando estuvieren caducos. En el caso de los párrafos anteriores, el suministro de información, la modificación, bloqueo o la eliminación de los datos personales será absolutamente gratuita, debiendo proporcionarse, además, a solicitud del titular, constancia de la base de datos actualizada en lo concerniente. Si se efectuasen nuevas modificaciones, bloqueo o eliminaciones de datos, el titular podrá, asimismo, obtener sin costo alguno, constancia de la base de datos actualizada, siempre que hayan transcurrido al menos cuatro (4) meses desde la anterior oportunidad en que hizo uso de este derecho. El derecho a obtener copia gratuita sólo podrá ejercerse personalmente o mediante poder expreso para tal fin. Artículo 14. De oficio o a petición de parte, los datos personales deberán ser eliminados o cancelados de forma permanente cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado. Los datos deberán ser modificados cuando sean erróneos, inexactos, equívocos o incompletos dentro de un término de cinco (5) días hábiles siguientes a la solicitud de modificación Quien sea responsable de la base de datos podrá proceder a la eliminación, modificación o bloqueo de los datos personales, sin necesidad de requerimiento del titular, cuando existan pruebas de la inexactitud de dichos datos Se bloquearán los datos personales cuya exactitud no pueda ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación, en este caso los mismos serán bloqueados para acceso a terceros o para evitar su uso en otros fines que no hayan sido los expresamente autorizados. En todo caso corresponderá a la ANTAI como autoridad competente, determinar cuándo un dato es inexacto o cuando carecen los mismos de fundamento legal, sin perjuicio de lo dispuesto en leyes especiales que regulen materias específicas. Artículo 15. Si el responsable de la base de datos personales no se pronuncia sobre la solicitud del titular de datos personales dentro de los diez (10) días hábiles siguientes a la solicitud, el titular de los datos personales tendrá derecho a recurrir a la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), quien es el organismo competente para el cumplimiento de las obligaciones contenidas en la presente Ley; lo anterior sin perjuicio de lo establecido en leyes especiales. La ANTAI reglamentará el procedimiento correspondiente para atender las denuncias por violaciones al plazo establecido en este artículo. La ANTAI está facultada para solicitar la información necesaria y efectuar verificaciones, a fin de realizar las investigaciones administrativas relacionadas exclusivamente, y en cada caso, con la queja o denuncia presentada. Artículo 16. El titular de los datos personales tiene derecho a no ser sujeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales, que produzca efectos jurídicos o le afecte significativamente, cuyo objeto sea evaluar determinados aspectos de su personalidad, 8

9 estado de salud, rendimiento laboral, crédito, fiabilidad, conducta, características o personalidad, entre otros. No obstante, dicha decisión sí será posible cuando: a. El titular de los datos personales la haya consentido; b. Sea necesaria para celebrar o dar cumplimiento a un contrato o relación jurídica entre el responsable del tratamiento y el titular de los datos personales; c. Sea autorizada por la Ley. Artículo 17. Los establecimientos de salud públicos o privados y los profesionales de la medicina, pueden recolectar y procesar los datos personales relativos a la salud física o mental de los titulares que como pacientes acudan a los mismos o que estén o hubieren estado bajo su tratamiento, respetando los principios del secreto profesional y lo establecido en la presente Ley o en Leyes especiales que regulan esta materia. Artículo 18. El derecho del titular de los datos personales al acceso, revocación, cancelación, oposición o bloqueo de sus datos personales no puede ser limitado mediante ningún acto o convenio entre partes, en cuyo caso se declara nulo el acto de limitación. Artículo 19. Si los datos personales se encuentran almacenados en una base de datos que se alimente de datos provistos por diversos organismos, el titular podrá requerir información a través del custodio o del organismo que suministra la información. Artículo 20. No obstante lo dispuesto en este capítulo, no podrá solicitarse información, modificación, eliminación, cancelación o bloqueo de datos personales cuando ello impida o entorpezca el debido cumplimiento de las funciones fiscalizadoras de una autoridad competente, o afecte la confidencialidad establecida en disposiciones legales o reglamentarias, o la seguridad del Estado.. Tampoco podrá pedirse la modificación, eliminación, cancelación o bloqueo de datos personales almacenados por mandato legal, fuera de los casos contemplados en la Ley respectiva. Artículo 21. Los responsables o custodios de bases de datos deberán entregar a las autoridades competentes la información relacionada al almacenamiento o transferencia de datos personales que sea debidamente solicitada para el aseguramiento de cumplimiento de la Ley, investigaciones judiciales, del Ministerio Público o administrativas en curso, que adelanten las autoridades competentes. En cualquier caso, la solicitud tendrá que estar debidamente justificada y ser proporcionada, no admitiéndose en ningún caso solicitudes masivas de información sobre datos personales. En todo caso, dicha solicitud deberá ir dirigida al responsable del tratamiento o al titular de los datos, que es el único que puede responder a la misma, ordenando, en su caso, al encargado del tratamiento, que entregue los datos personales a la autoridad correspondiente si éste es quien los tuviera por mandato o encargo de dicho responsable. Título III Utilización de Datos Personales Artículo 22. Los responsables de las bases de datos referentes a obligaciones de carácter comercial, sólo podrán comunicar o trasmitir información sobre los mismos, cuando sean de carácter demográfico, económico, financiero, bancario o comercial y no de otra naturaleza que hayan recopilado, salvo las excepciones contempladas en leyes especiales, o que cuenten con el consentimiento previo. Artículo 23. Los operadores que gestionen redes públicas o que presten servicios de comunicación disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos personales conforme a la presente Ley y las leyes especiales que rigen la materia. Asimismo, deberán adoptar las medidas técnicas y de gestión adecuada para preservar la seguridad en la explotación de la red o en la prestación de los servicios, con el fin de garantizar los niveles de protección de los datos personales que sean exigidos por la reglamentación de Ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones, el operador que gestione dicha red o preste el servicio de comunicaciones, informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar. La regulación contenida en esta Ley, se entiende sin perjuicio de lo previsto en las normas especiales sobre telecomunicaciones relacionadas con la seguridad pública y la defensa nacional. En el caso de que la recolección de la información se realice a través del Internet u otro medio de comunicación digital, las obligaciones indicadas en la presente Ley se completarán mediante la 9

10 presentación al interesado de las Políticas de Privacidad y/o Condiciones de Servicio, accesibles a través de enlaces. Artículo 24. En ningún caso, el custodio de la base de datos puede transferir o comunicar los datos a los que se refiere este Título, que se relacionen con una persona identificada o identificable, luego de transcurridos cinco (5) años desde que la respectiva obligación se hizo exigible, salvo que en legislación especial se establezcan otros plazos. Tampoco el custodio de la base de datos podrá continuar transfiriendo los datos personales relativos a dicha obligación, después de haber sido extinguido por el pago u otro modo legal, salvo que el titular de los datos personales expresamente solicite lo contrario. Artículo 25. La extinción de estas obligaciones por pago o cualquier otro modo, no producen la caducidad o la pérdida de fundamento legal de los datos respectivos para los efectos de realización de pronósticos o evaluaciones de riesgo basadas en información objetiva, relativa a reclamaciones de las personas naturales de las cuales se informa, mientras esté pendiente el plazo de cinco (5) años que establece el artículo precedente, salvo que en legislación especial se establezcan otros plazos. Al extinguirse la relación o la obligación, por otro modo en que intervenga directamente una parte interesada, ésta notificará tal hecho a más tardar dentro de los siguientes diez (10) días hábiles, al responsable de la base de datos accesible al público o a terceros que en su oportunidad comunicó o transmitió el dato personal, a fin de que consigne el nuevo dato que corresponda, previo cumplimiento de las obligaciones pactadas. La parte afectada podrá optar por requerir directamente la modificación a la base de datos y liberar del cumplimiento de esa obligación a la parte que le entregue constancia suficiente de cumplimiento; decisiones que deberá expresar por escrito. Quienes efectúen el tratamiento de datos personales provenientes o recolectados de la aludida fuente accesible al público, deberán modificar los datos en el mismo sentido tan pronto aquélla comunique el pago o la extinción de la obligación, o dentro de los tres (3) días hábiles siguientes. Si no les fuera posible, bloquearán los datos del respectivo titular hasta que esté actualizada la información. La infracción de cualquiera de estas obligaciones será del conocimiento de la ANTAI, quien aplicará las sanciones correspondientes de conformidad con el respectivo reglamento, salvo aquellas que competan a otras entidades públicas contempladas en leyes especiales. Artículo 25. El tratamiento de datos personales por parte de una entidad pública, sólo podrá efectuarse respecto de las materias de su competencia y con sujeción a la legislación vigente. En esas condiciones, no se necesitará el consentimiento del titular. Artículo 26. Las entidades públicas que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias; no podrán comunicarlos una vez prescrita la acción penal o administrativa, o cumplida o prescrita la sanción o la pena. Exceptúese los casos en que esa información les sea solicitada por los tribunales de Justicia u otros organismos públicos dentro del ámbito de su competencia, quienes deberán guardar respecto de ella la debida reserva o confidencialidad y, en todo caso, les será aplicable lo dispuesto en los artículos 5, 7, 11 y 20. La ANTAI reglamentará la publicación de datos personales aplicables a los servidores públicos, que corresponderán a los mínimos requeridos para los propósitos de transparencia de la información. Artículo 27. Los custodios de bases de datos que transfieran datos personales almacenados en bases de datos a terceros, llevarán un Registro de las mismas, las cuales deberán estar a disposición de la ANTAI, en caso de que ésta lo requiera. El Registro al que se refiere el párrafo anterior, constará, respecto de cada una de esas bases de datos, la identificación de las mismas y el responsable de éstas, naturaleza de los datos personales que contiene, el fundamento jurídico de su existencia, procedimientos de obtención y tratamiento de los datos, destino de los datos y personas naturales o jurídicas a las que pueden ser transferidos, descripción del universo de personas que comprende, medidas de seguridad, protocolos y descripción técnica de la base de datos, forma y condiciones en que las personas pueden recibir o acceder a los datos referidos a ellas, y los procedimientos a realizar para la rectificación, actualización de los datos, tiempo de conservación de los datos y cualquier cambio de los elementos indicados, dentro de los quince (15) días hábiles desde que se inicie dicha actividad. Sólo pueden ser capturados para almacenamiento, los siguientes datos provenientes de la cédula de identidad personal que provea el ciudadano: nombre completo, número de cédula, validación de la 10

11 fecha de nacimiento, identidad o firma electrónica, como constancia o trazabilidad que permita validar la identidad en las transacciones debidamente autorizadas. Artículo 28. La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI), contará con los recursos presupuestarios y financieros para el debido cumplimiento de las funciones que se le atribuyen mediante esta Ley, los cuales le serán asignados de conformidad con las normas vigentes en materia presupuestaria. Artículo 29. Se crea el Consejo de Protección de Datos Personales como ente consultivo en la materia que regula la presente Ley, la cual estará conformada de la siguiente manera: a) El Ministro de Comercio e Industrias, o a quien éste delegue, y quien la presidirá. b) El Administrador General de la Autoridad Nacional para la Innovación Gubernamental (AIG), o a quien éste delegue. c) El Administrador General de la Autoridad de Protección al Consumidor y Defensa de la Competencia (ACODECO), o a quien éste delegue. d) Un representante del Consejo Nacional de la Empresa Privada (CONEP). e) El Defensor del Pueblo, o a quien éste delegue. f) El Administrador General de la ANTAI, o a quien éste delegue, y quien ejercerá la Secretaría de la misma. El representante del Consejo Nacional de la Empresa Privada y su respectivo suplente, será designado por su Junta Directiva por un período de dos (2) años. Artículo 30: El Consejo de Protección de Datos Personales tendrá las siguientes facultades: a) Asesorar a la ANTAI en materia de Protección de Datos Personales, recomendar acciones y reglamentos. b) Recomendar políticas públicas relacionadas con esta materia. c) Evaluar casos que le sean presentados para consulta y brindar sus recomendaciones. d) Conocer de los Recursos de Apelación interpuestos en contra de las decisiones emitidas por la ANTAI, en lo que concierne a la aplicación de esta Ley. e) Desarrollar su Reglamento Interno. Título IV De la Responsabilidad por las Infracciones a esta Ley Artículo 31. El responsable del tratamiento deberá indemnizar el daño patrimonial y/o moral que causaran por el tratamiento o transferencia indebida de los datos personales, sin perjuicio de proceder a eliminar, modificar o bloquear los datos personales de acuerdo a lo requerido por el titular de dichos datos, lo exigible por esta Ley o, en su caso, lo ordenado por los tribunales de justicia. La acción consiguiente podrá interponerse conjuntamente con la reclamación destinada a establecer la infracción, sin perjuicio de las responsabilidades a que hubiese lugar, de conformidad con lo establecido en el Código Civil o, en su caso, en el Código Penal, según sea la naturaleza de la responsabilidad exigida. Artículo 32. La ANTAI está facultada para sancionar a la persona natural o jurídica, responsable del tratamiento o transferencia de los datos personales, así como también al custodio de la base de datos, que por razón de la investigación de las quejas o denuncias que se le presenten, se les compruebe que han infringido los derechos del titular de los datos personales. La ANTAI fijará los montos de las sanciones aplicables a las respectivas faltas, acorde a la gravedad de las faltas, y las cuales se establecerán desde la suma de B/ hasta los B/ , así como reglamentará el procedimiento correspondiente. Las sanciones pecuniarias que imponga la ANTAI, en el ejercicio de las facultades establecidas en esta Ley, que no hayan sido pagadas en el término concedido, se remitirán para su cobro a la Dirección General de Ingresos (DGI) del Ministerio de Economía y Finanzas. Artículo 33: Las sanciones que imponga la ANTAI a los responsable de las bases de datos y demás sujetos alcanzados por el régimen de la presente Ley y sus reglamentos, se graduarán en atención a la reincidencia de la infracción cometida. Las sanciones se clasifican así: a. Advertencia escrita b. Citación ante la Autoridad en relación a Registros o atender falta c. Multas 11

12 d. Clausura de los registros de la base de datos. Para ejecutar esta acción, la ANTAI deberá contar con la opinión formal del Consejo Consultivo de Protección de Datos Personales, sin perjuicio de los recursos que esta ley le concede al afectado. e. Suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales. Para hacer cumplir la Suspensión o Clausura, la ANTAI podrá requerir el auxilio de la Fuerza Pública Los hechos que acarreen una sanción serán documentados de acuerdo a las formalidades legales y se realizarán informes estadísticos que permitan a la ANTAI establecer la gravedad, reiteración o reincidencia de la infracción cometida. Artículo 34: Tipos de infracciones. Las infracciones se calificarán como leves, graves o muy graves. Son infracciones leves: a. No remitir y/o informar a la ANTAI lo ordenado en esta Ley, su reglamentación o cualquier otra disposición normativa. b) Infringir la normativa de informar al titular afectado acerca de sus derechos en relación al tratamiento de sus datos de carácter personal, cuando la información es obtenida del propio interesado. Son infracciones graves: a) Proceder a la creación de archivos o bases de datos de propiedad pública o iniciar la recopilación de datos de carácter personal, sin la resolución de autorización, de la ANTAI. b) Efectuar el tratamiento o transferencia de datos de carácter personal, sin obtener obtenido el consentimiento de las personas afectadas, según el procedimiento indicado por esta Ley, su reglamentación o cualquier otra disposición normativa. c) Infringir los principios y garantías establecidos en la presente Ley o en su reglamentación o cualquier otro mecanismo, que se refiera a la Calidad de Datos. d) Infringir el compromiso de secreto relacionado al tratamiento de los datos de carácter personal. e) Restringir o entorpecer la aplicación de los derechos de: acceso, rectificación, cancelación y oposición. f) El incumplimiento del deber de información al titular afectado acerca del tratamiento o transferencia de sus datos de carácter personal cuando los datos no hayan sido obtenidos del propio titular. g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley, su reglamentación o cualquier otro mecanismo. h) Mantener los archivos, sitios, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que el reglamento de esta ley disponga. i) No atender los requerimientos u observaciones formalmente notificadas o no proporcionar la documentación o información formalmente solicitada por la ANTAI. j) La obstrucción o no cooperación al momento que la ANTAI ejerza su función de inspección. k) Realizar la comunicación o cesión de los datos de carácter personal sin haber cumplido las disposiciones señaladas en esta Ley, su reglamentación. Son infracciones muy graves: a. La recopilar datos de carácter personal, en forma dolosa. b. Infringir las regulaciones en referencia a información confidencial o particularmente protegida. c. No suspender el tratamiento o transferencia de datos de carácter personal cuando existiese un previo requerimiento de la ANTAI para ello. d. El almacenamiento o la transferencia internacional de datos de carácter personal cuando se realice violentando lo preceptuado en la presente Ley. Disposiciones Transitorias Artículo 35. Los titulares de los datos personales registrados en bases de datos creados con anterioridad a la entrada en vigencia de la presente Ley, tendrán los derechos que ésta les confiere. Artículo 36. La presente Ley comenzará a regir al transcurrir un año a partir de su promulgación. Los organismos públicos que tuvieren a su cargo la responsabilidad y/o custodia de bases de datos personales deberán remitir a la ANTAI los Registros a que se refiere esta Ley, dentro del plazo que fije el reglamento respectivo. 12

13 Propuesto a la consideración de la Asamblea Nacional, hoy de dos mil dieciséis (2016), por su excelencia Álvaro Alemán H., Ministro de la Presidencia, en virtud de autorización concedida por el Honorable Consejo de Gabinete, mediante la Resolución de Gabinete No. de de ÁLVARO ALEMÁN H. Ministro de la Presidencia 13